对企业网络中的服务器发掘对攻击者来说是个巨大的赚钱机器。

攻破（Pwn）DMZ区中的企业文件服务器，攻击者很可能获得所有敏感用户数据。成功入侵数据库服务器，可以在网络中造成更多的破坏。获取域控制器的访问特权，攻击者可以获得域控制器相关的近乎所有数据。

为了能够尽职尽责，系统管理员必须谨慎了解自己以及自己的团队，并掌握更多有用的服务器安全工具与机制。

别拦着我，兄弟

Bro Network Security Monitor是一款基于BSD许可证的（一个简单、宽容和免费的计算机软件许可证）开源网络监控工具，允许几乎不受限制的使用。当它被安装在连接网络的设备上，Bro会嗅探进出设备网口的所有流量。Bro与简单网络监控工具，如Wireshark和Snort不同之处在于，它能够将所有流量分解纳入相关的日志文件并加以组织，而不是简单的发出流量告警。

例如，某台设备连接了网络，并为默认配置。Bro会以 .pcap的格式捕捉所有进入和流出的流量，并且根据类型将每个数据包按顺序记录到日志文件中。如果一个HTTP包被捕获，就会被发送到http.log文件。如果一个DHCP包被捕获，就会被记录到dhcp.log文件，而且该行为会根据各种协议类型进行分类并重复执行。如果在分析后系统管理员认为某些HTTP流量是恶意的，可以配置Bro阻止相关流量。所有的一些都可以脚本实现，灵活性不言而喻。

Bro必须运行在Unix或类Unix平台上，考虑到充分发挥Bro的潜在实力，系统管理员应该学习Bro脚本语言。因为Bro是捕捉网络层的数据包，任何服务器OS都可以使用。Bro不但免费而且功能强大，在与Bro的优势相比，学习的成本微乎其微。

让我们开始查看日志吧

在Linux服务器环境中，系统管理可能认为有必要检测每台服务器上的流量。使用Logwatch。Logwatch专注于个体Linux服务器，而不是服务器所在的整个网络。进一步说，Logwatch检测服务器的日志，并且将值得注意的活动通过电子邮件发送给系统管理员。

例如，Linux管理员最常见的跟踪就是Secure Shell（SSH）活动记录。Logwatch会通知管理员有多少次针对服务器成功或失败的SSH尝试，以及root用户登录尝试的次数。跟踪这些信息可以让系统管理员对谁成功或未成功连接服务器心有成竹。

Logwatch主要是一款Linux工具，系统管理员可以通过如下命令下载和安装Logwatch：

sudo apt-get install logwatch

随后，系统管理员需要编辑Logwatch.conf配置文件以给必要的人发送电子邮件提醒。接着，配置Logwatch对特定的流量发送告警，或先采用默认配置，再根据需要编辑配置文件。

我们可以失败后封停

与Logwatch兼具同样的精神，Fail2ban是一款开源、免费、基于Linux和日志文件的入侵防御系统类安全工具。

与Logwatch类似，Fail2ban着重于保护各自独立的服务器，而不是企业网络的活动，但其不同在于，它能够阻止某些类型的活动，而不只是简单告警。工具可以检测本地日志和搜索匹配恶意活动的关键字。一旦检测到恶意活动，Fail2ban会记录活动的源IP地址，并将该IP地址插入到防火墙的DROP 规则中。

Linux服务器的系统管理员主要采用Fail2ban来巩固Linux服务，如Apache、SSH或Courier，首先可以通过下列命令下载和安装Fail2ban： 

sudo apt-get install fail2ban

根据服务器的配置，Fail2ban可以在守护进行已经运行的情况下进行安装。因此，系统管理员需要检查Jail配置文件并插入希望阻止或忽略的IP地址。接着通过命令重启Fail2ban守护进程： 

sudo /etc/init.d/fail2ban restart

接下来，Fail2ban会开始检查本地文件，并且把判断为恶意IP地址的通信流量阻断。